近日，涉及國內(nèi)多家銀行數(shù)百萬條客戶數(shù)據(jù)資料、在暗網(wǎng)被標(biāo)價(jià)兜售的消息廣為流傳。

盡管涉事各家銀行進(jìn)行數(shù)據(jù)比對(duì)核查之后，均否認(rèn)了被兜售的數(shù)據(jù)資料包真實(shí)性。但是，牽涉面甚廣的龐大的金融數(shù)據(jù)，尤其是銀行用戶涉敏信息的如何保障安全性，仍持續(xù)在行業(yè)引發(fā)關(guān)注、研討。

尤其是，伴隨銀行線下業(yè)務(wù)線上化、與流量方邊界日益拓寬等新變化，泄密在前端、在外包管理領(lǐng)域，也給銀行數(shù)據(jù)安全管理帶來新挑戰(zhàn)。截至2019年底，我國開立銀行賬戶113.52億戶、全國人均擁有銀行賬戶數(shù)達(dá)8.09戶，這些賬戶安全誰來守護(hù)?

這次疑涉百萬條客戶數(shù)據(jù)被盜賣的消息，神秘交易地“暗網(wǎng)”浮出水面，再次讓更多人關(guān)注起這個(gè)通過特殊技術(shù)手段才可登入的秘境。

而更多人不知道的是，“你看到的只是冰山一角，暗網(wǎng)交易的信息非常非常多，金融相關(guān)信息可以占到7成以上。”通過連日多方采訪，券商中國記者試圖還原一組金融數(shù)據(jù)是如何被盜取、流入暗網(wǎng)、被誰交易售出、由誰流出市場(chǎng)的暗網(wǎng)鏈條。

百萬條用戶資料被“白菜價(jià)”非法甩賣？

銀行：與真實(shí)數(shù)據(jù)不符

涉及國內(nèi)多家銀行數(shù)百萬條客戶數(shù)據(jù)資料，在暗網(wǎng)被標(biāo)價(jià)兜售，連日來引發(fā)行業(yè)廣泛關(guān)注。4月15日，一位金融安全技術(shù)人士向券商中國記者證實(shí)了在暗網(wǎng)看到該條盜賣信息。

從數(shù)據(jù)安全人士此前發(fā)布的相關(guān)截圖來看：被售賣信息里包含了大規(guī)模的金融機(jī)構(gòu)客戶數(shù)據(jù)泄露，其中涉及上海銀行80.3155萬條、浦發(fā)銀行10萬條、招商銀行上海分行6.3萬條、中國農(nóng)業(yè)銀行90萬條、興業(yè)銀行46萬條客戶資料，其中既有儲(chǔ)蓄賬戶、也有信用卡賬戶及私行理財(cái)賬戶，含客戶姓名、客戶類型、性別年齡、手機(jī)號(hào)碼、開戶賬號(hào)、住址郵編、存款數(shù)據(jù)等信息。

此外，還包括經(jīng)過初步分類的20萬條企業(yè)代表資料，包含公司名稱、注冊(cè)資本、企業(yè)經(jīng)營范圍等。需指出的是，該部分信息多為公開可獲取信息。

“46萬條銀行信用卡客戶數(shù)據(jù)標(biāo)價(jià)不到100美元，90萬條數(shù)據(jù)標(biāo)價(jià)只賣3999美元(折合人民幣約2.8萬元)，簡直是‘白菜價(jià)’;如果是真實(shí)數(shù)據(jù)，這么龐大的數(shù)據(jù)量實(shí)際售價(jià)至少10倍以上。”一位大數(shù)據(jù)行業(yè)風(fēng)控總監(jiān)向券商中國記者評(píng)價(jià)，盡管截圖顯示的樣例數(shù)據(jù)非常詳盡，但這么大的數(shù)據(jù)量價(jià)格卻低得離譜，盜賣數(shù)據(jù)是不是真的、可信度要打個(gè)問號(hào)。

為了核實(shí)上述情況，記者也第一時(shí)間聯(lián)系了涉事銀行，各家銀行相對(duì)一致態(tài)度是：經(jīng)過核查比對(duì)，與真實(shí)數(shù)據(jù)信息不符;不排除不法分子將不明來源數(shù)據(jù)冠以金融機(jī)構(gòu)名義兜售，以牟取非法利益。

興業(yè)銀行相關(guān)負(fù)責(zé)人回復(fù)，“所謂的‘興業(yè)銀行信用卡客戶信息’與我行真實(shí)的客戶信息要素并不吻合，不排除系不法分子偽造、售賣所謂銀行客戶信息牟取不當(dāng)利益。”

招商銀行方面人士告訴記者，“經(jīng)比對(duì)相關(guān)數(shù)據(jù)，與我行真實(shí)客戶信息并不吻合，網(wǎng)絡(luò)上的信息不屬實(shí)。我行譴責(zé)任何偽造并販賣公民信息的犯罪行為，并保留追究損害我行聲譽(yù)法律責(zé)任的權(quán)利。”

浦發(fā)銀行方面回應(yīng)稱，“經(jīng)排查比對(duì)，相關(guān)數(shù)據(jù)無我行賬戶信息，且與我行客戶信息要素不符。”

上海銀行相關(guān)人士回應(yīng)記者稱，“進(jìn)行了詳細(xì)比對(duì)，發(fā)現(xiàn)其所謂客戶信息中并無我行銀行賬戶信息，且與我行真實(shí)客戶信息關(guān)鍵要素并不匹配?？烧J(rèn)定該販賣信息非我行泄露數(shù)據(jù)，不排除系不法分子為牟取不當(dāng)利益?zhèn)卧?、拼湊、出售所謂銀行的客戶信息。”

全國開立銀行賬戶達(dá)113.5億

誰在守護(hù)安全？

百萬條被兜售的數(shù)據(jù)資料包盡管真實(shí)性被駁，但龐大的金融數(shù)據(jù)尤其是銀行用戶涉敏信息的安全性如何保障?已足夠引起行業(yè)及監(jiān)管對(duì)金融數(shù)據(jù)安全的重視。

央行統(tǒng)計(jì)顯示，銀行賬戶數(shù)量穩(wěn)步增長，截至2019年末，全國共開立銀行賬戶113.52億戶、同比增長12.07%，其中，全國開立單位銀行賬戶6836.87萬戶、同比增長11.73%，個(gè)人銀行賬戶112.84億戶，同比增長12.07%，全國人均擁有銀行賬戶數(shù)達(dá)8.09戶。

為業(yè)界所公認(rèn)的是，金融行業(yè)尤其是銀行業(yè)是風(fēng)控建設(shè)最好的行業(yè)，其中信息科技領(lǐng)域的風(fēng)控建設(shè)和落地水平遠(yuǎn)高于其他行業(yè)。依據(jù)銀保監(jiān)會(huì)“商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引”，銀行業(yè)有嚴(yán)格的風(fēng)控建設(shè)體系和風(fēng)控監(jiān)督體系，有嚴(yán)謹(jǐn)?shù)娘L(fēng)險(xiǎn)控制點(diǎn)的識(shí)別、評(píng)價(jià)、處置、跟蹤機(jī)制。

“銀行業(yè)信息科技風(fēng)控要求較高，需要符合國內(nèi)外風(fēng)控管理要求，包括商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引、巴薩爾協(xié)議、塞班斯法案等。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔告訴記者。

杭州某大型技術(shù)公司金融事業(yè)部總經(jīng)理曾負(fù)責(zé)過銀行物聯(lián)網(wǎng)解決方案，涉及到數(shù)據(jù)服務(wù)采集業(yè)務(wù)，他向記者舉例，“設(shè)備采集的信息一般會(huì)保存在當(dāng)?shù)劂y行機(jī)構(gòu)，在信息保存、傳輸安全性方面，一方面是，銀行本身設(shè)有專網(wǎng)，內(nèi)網(wǎng)、外網(wǎng)隔開，還有硬件設(shè)施方面的防火墻設(shè)置防護(hù);另一方面，各家銀行內(nèi)部有各個(gè)層級(jí)對(duì)安全認(rèn)證的嚴(yán)格復(fù)核管理。”

“銀行的IT系統(tǒng)不具備大規(guī)模向外泄露數(shù)據(jù)的可能性。”一家股份行風(fēng)險(xiǎn)管理部門總監(jiān)向券商中國記者分析，“按銀保監(jiān)會(huì)的相關(guān)規(guī)定，銀行業(yè)IT系統(tǒng)基本分為：生產(chǎn)域、測(cè)試域、互聯(lián)網(wǎng)域等，其中，三個(gè)域之間的數(shù)據(jù)傳輸收到嚴(yán)格限制。只有在生產(chǎn)域才能看到數(shù)據(jù)的全貌，測(cè)試域只有用于測(cè)試的數(shù)據(jù)，有數(shù)據(jù)量和脫敏的相關(guān)要求，互聯(lián)網(wǎng)域基本沒有客戶信息。從技術(shù)上、系統(tǒng)上，大規(guī)模數(shù)據(jù)外泄講不通。”

DataVisor黑產(chǎn)研究專家、高級(jí)技術(shù)經(jīng)理周君楨的看法類似，金融機(jī)構(gòu)尤其是銀行的安全風(fēng)險(xiǎn)等級(jí)最為嚴(yán)格，一方面是監(jiān)管要求高、管理嚴(yán);另一方面是業(yè)務(wù)屬性決定，對(duì)于銀行來說，客戶賬戶信息是核心商業(yè)價(jià)值要素之一，銀行會(huì)投入大量人力、物力做相關(guān)保障，大中型銀行也具備強(qiáng)大技術(shù)團(tuán)隊(duì)和實(shí)力。

流量經(jīng)濟(jì)爆發(fā)的安全新挑戰(zhàn)：泄密在前端

從近期發(fā)布的國有六大行年報(bào)來看，其中有四家2019年科技投入總金額突破百億元，最高的建設(shè)銀行投入176.33億元;截至2019年末，工商銀行金融科技人員規(guī)模多達(dá)3.48萬名、在全員占比高達(dá)7.82%，其次是建設(shè)銀行、交通銀行、中國銀行、農(nóng)業(yè)銀行金融科技人員占比分別為2.75%、4.05%、2.58%、1.58%。

銀行加大科技投入、科技人員擴(kuò)容規(guī)?？涨?。然而，銀行數(shù)據(jù)涉密各個(gè)環(huán)節(jié)，盡管被最高等級(jí)的風(fēng)險(xiǎn)防護(hù)，仍難有萬全之說。

首先是不同金融機(jī)構(gòu)之間、金融機(jī)構(gòu)內(nèi)部之間的安全能力有差異。“大中型的金融機(jī)構(gòu)風(fēng)險(xiǎn)等級(jí)高，但是一些分支機(jī)構(gòu)風(fēng)險(xiǎn)能力就較弱，可能賬戶密碼保護(hù)不嚴(yán)密。一些地下灰黑產(chǎn)業(yè)，就會(huì)有組織、有目的性地去攻擊，抓住一些系統(tǒng)平臺(tái)存在的漏洞。”周君楨介紹。

“銀行的風(fēng)控水平并不是一碗水端平。”上述股份行智能風(fēng)控中心總監(jiān)直言，“有的銀行風(fēng)控水平高、有的銀行風(fēng)控水平低，實(shí)力強(qiáng)的銀行所有的模型都是行內(nèi)專業(yè)人員建模;但是對(duì)于部分地方偏遠(yuǎn)地區(qū)的銀行等，缺乏高端數(shù)據(jù)專業(yè)人才，只能通過外包方式去建模型。甚至部分不具備技術(shù)能力的銀行直接拿過來就用一些第三方公司流量數(shù)據(jù)，這些數(shù)據(jù)包括身份認(rèn)證三要素和部分行為特征，但是往往這類數(shù)據(jù)可能在使用前已經(jīng)可能被泄密了。”

“泄密環(huán)節(jié)出在前端。”——在數(shù)位金融機(jī)構(gòu)風(fēng)控資深從業(yè)人士看來，這是伴隨著近幾年的銀行線下業(yè)務(wù)線上化，在風(fēng)險(xiǎn)防控上一個(gè)更應(yīng)該引起行業(yè)注意的新變化。

在彭思翔看來，銀行數(shù)據(jù)泄露可能發(fā)生的場(chǎng)景，除了信息科技運(yùn)行領(lǐng)域訪問控制策略不當(dāng)，開發(fā)、測(cè)試和維護(hù)領(lǐng)域三個(gè)環(huán)節(jié)未分離或分離后數(shù)據(jù)未脫敏，以及信息安全領(lǐng)域系統(tǒng)漏洞之外，其中一個(gè)重要的方面就發(fā)生在“外包管理領(lǐng)域”，“特別是對(duì)外包研發(fā)、測(cè)試的管理不當(dāng)。生產(chǎn)環(huán)境暴露、數(shù)據(jù)庫過度授權(quán)，都會(huì)引起數(shù)據(jù)泄露。”

“因?yàn)樾袠I(yè)業(yè)務(wù)屬性不同，銀行的IT系統(tǒng)和互聯(lián)網(wǎng)公司之間，往往有代際差異。”該股份行智能風(fēng)控中心總監(jiān)向記者舉例。“比如面對(duì)一個(gè)互聯(lián)網(wǎng)流量平臺(tái)采用流量分發(fā)模型，100萬客戶分發(fā)給數(shù)十家不同的銀行，與之相應(yīng)的，銀行與之對(duì)接的是流量準(zhǔn)入模型;很天然地，這兩個(gè)模型之間是對(duì)抗關(guān)系，準(zhǔn)入模型希望準(zhǔn)入更多，而分發(fā)模型希望篩掉更多;在現(xiàn)實(shí)情況中，相比互聯(lián)網(wǎng)公司，銀行IT系統(tǒng)靈活度、可使用工具、覆蓋的行為數(shù)據(jù)數(shù)等，都處于相對(duì)劣勢(shì)。”

“今后銀行數(shù)據(jù)風(fēng)控管理必將趨嚴(yán)”

“為促進(jìn)金融行業(yè)健康發(fā)展與風(fēng)險(xiǎn)控制，監(jiān)管層已經(jīng)通過發(fā)布監(jiān)管指引并將數(shù)據(jù)治理與監(jiān)管評(píng)級(jí)掛鉤的方式，來提高銀行業(yè)對(duì)數(shù)據(jù)治理工作的重視，不管有沒有出現(xiàn)這次的事件，銀行今后數(shù)據(jù)風(fēng)控管理上必將是趨嚴(yán)的。”數(shù)位銀行業(yè)內(nèi)人士均認(rèn)為，盡管這次盜賣數(shù)據(jù)真實(shí)性存疑，但它后續(xù)仍然會(huì)也業(yè)務(wù)層面產(chǎn)生影響。

2018年5月，銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，旨在引導(dǎo)銀行業(yè)金融機(jī)構(gòu)加強(qiáng)數(shù)據(jù)治理。去年12月，金融業(yè)移動(dòng)金融APP備案首批試點(diǎn)開啟，首批23家試點(diǎn)備案名單中就有16家銀行，含5家國有大行、5家股份行、3家城商行、2家農(nóng)商行、1家農(nóng)信聯(lián)社，涉及提升安全防護(hù)、加強(qiáng)個(gè)人金融信息保護(hù)、提高風(fēng)險(xiǎn)監(jiān)測(cè)能力、健全投訴處理機(jī)制、強(qiáng)化行業(yè)自律5個(gè)方面，并劃定了涉及個(gè)人金融信息采集、使用、留存等方面四大紅線。

事實(shí)上，銀行數(shù)據(jù)管理趨嚴(yán)背后，是國家層面對(duì)個(gè)人信息數(shù)據(jù)管理工作地系統(tǒng)性出擊。去年下半年，工信部等數(shù)次公開點(diǎn)名批評(píng)百余款應(yīng)用軟件及其運(yùn)營企業(yè)，涉及未經(jīng)用戶同意超范圍及非必要使用個(gè)人信息等違規(guī)情形。

券商中國記者注意到，去年5月份到8月份，監(jiān)管部門密集出臺(tái)了關(guān)于數(shù)據(jù)安全管理辦法、APP違規(guī)收集使用個(gè)人信息行為認(rèn)定方法等多項(xiàng)征求意見稿及草案。這也和上述數(shù)位銀行業(yè)人士的判斷類似，當(dāng)前央行對(duì)銀行數(shù)據(jù)治理指引已經(jīng)非常詳盡，未來的變化更多出現(xiàn)在相關(guān)立法層面。

“在數(shù)據(jù)確權(quán)、數(shù)據(jù)治理上，中國有著絕對(duì)的優(yōu)勢(shì)，將是一個(gè)世界性的數(shù)據(jù)資產(chǎn)大國。”京東數(shù)科數(shù)字技術(shù)中心數(shù)據(jù)資產(chǎn)部總經(jīng)理張旭認(rèn)為，數(shù)據(jù)資產(chǎn)是銀行的核心資產(chǎn)，是政府安保數(shù)據(jù)之外最值得信賴的數(shù)據(jù)，但數(shù)據(jù)向前發(fā)展必然面臨著確權(quán)，以及海量數(shù)據(jù)在手之后如何通過人工智能等新技術(shù)做深度挖掘、開發(fā)應(yīng)用。

“從大環(huán)境的導(dǎo)向來看，為業(yè)內(nèi)普遍認(rèn)同的是，監(jiān)管曾仍然鼓勵(lì)在合規(guī)前提下推動(dòng)金融機(jī)構(gòu)數(shù)據(jù)高質(zhì)量發(fā)展，比如與各類政務(wù)數(shù)據(jù)互聯(lián)互通，建立跨區(qū)域的數(shù)據(jù)融合應(yīng)用等。”蘇寧金融研究院院長助理薛洪言接受券商中國記者采訪時(shí)稱。

龐大數(shù)據(jù)黑色交易網(wǎng)：金融相關(guān)占比7成以上

“暗網(wǎng)售賣數(shù)據(jù)是有組織嚴(yán)密的產(chǎn)業(yè)鏈，竊取售賣數(shù)據(jù)是黑產(chǎn)中隱藏最深的、歷史最悠久的、最成熟的變現(xiàn)方式。”騰訊安全數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)人彭思翔直言。

2018年被業(yè)內(nèi)認(rèn)為是數(shù)據(jù)保護(hù)的元年，卻也是數(shù)據(jù)泄露的灰色之年。當(dāng)年3月，F(xiàn)acebook被曝8700多萬條用戶數(shù)據(jù)泄露、遭遇其有史以來最大型數(shù)據(jù)泄露危機(jī)。而在國內(nèi)，2018年初有國內(nèi)某評(píng)價(jià)連鎖酒店傳出涉及5億條顧客隱私數(shù)據(jù)在暗網(wǎng)販賣;今年3月，國內(nèi)某APP發(fā)生信息泄露，在暗網(wǎng)上被以“5.38億用戶綁定手機(jī)號(hào)數(shù)據(jù)，其中1.72億有賬號(hào)基本信息”的名義進(jìn)行售賣。

近年來頻繁爆發(fā)重大企業(yè)信息資料或用戶數(shù)據(jù)泄漏事件，讓暗網(wǎng)這個(gè)“地下黑市”逐漸被社會(huì)所認(rèn)知。

“暗網(wǎng)，可以簡單理解為互聯(lián)網(wǎng)的一個(gè)地址，有一定技術(shù)手段都可以訪問。最大特性是匿名平臺(tái)，很難追溯，匿名傳輸，匿名貨幣交易。”周君楨告訴記者，“市場(chǎng)規(guī)模很難統(tǒng)計(jì)，你看到的只是冰山一角，暗網(wǎng)交易的信息非常非常多。”

而他注意到一個(gè)明顯的變化是，從2018年以來，隨著傳統(tǒng)金融數(shù)字化轉(zhuǎn)型的加速，銀行、證券、保險(xiǎn)尤其是互聯(lián)網(wǎng)金融等類型金融數(shù)據(jù)明顯增多，諸多信息經(jīng)常在暗網(wǎng)上被倒賣，“金融相關(guān)的數(shù)據(jù)情報(bào)數(shù)據(jù)占到7成以上，尤其涉及金融屬性的個(gè)人隱私信息，如金融開戶信息，信用卡等，國內(nèi)國外同樣如此。”

騰訊安全報(bào)告從2018年暗網(wǎng)數(shù)據(jù)交易的情況(抽樣數(shù)據(jù))來看，帳號(hào)/郵箱類數(shù)據(jù)、個(gè)人信息、網(wǎng)購/物流數(shù)據(jù)、銀行數(shù)據(jù)、網(wǎng)貸數(shù)據(jù)位列前五，分別占比為19.78%、12.19%、9.69%、9.02%和8.3%，其它還有博彩數(shù)據(jù)、股市數(shù)據(jù)、企業(yè)工商數(shù)據(jù)等信息。

彭思翔介紹，黑產(chǎn)者盜取數(shù)據(jù)的具體手段包括技術(shù)入侵、社會(huì)工程學(xué)及APT攻擊，也形成了脫、洗、撞三步循環(huán)的模式，“脫庫是指入侵有價(jià)值的企業(yè)，把數(shù)據(jù)庫全部盜走;洗庫指對(duì)數(shù)據(jù)初步清洗，拿到其中最有價(jià)值的數(shù)據(jù)去變現(xiàn);撞庫指清洗后發(fā)現(xiàn)可以繼續(xù)利用的數(shù)據(jù)，會(huì)到別的應(yīng)用、企業(yè)繼續(xù)嘗試滲透脫庫，形成循環(huán)操作模式，一個(gè)企業(yè)或者一個(gè)行業(yè)的數(shù)據(jù)將全部被獲取。”

比如，銀行業(yè)里儲(chǔ)存了大量用戶敏感信息且又全又準(zhǔn)確，而銀行開展了大量業(yè)務(wù)應(yīng)用、更新速度快，這又帶來攻擊面大、窗口多，但銀行又很難做到滴水不漏的防護(hù)，“這就會(huì)成為黑產(chǎn)重點(diǎn)攻擊的目標(biāo)。”

由誰賣出、被誰買入

不少人有類似的經(jīng)歷：在某銀行剛辦理按揭貸款，隨后不斷收到各類第三方平臺(tái)的信貸類、消費(fèi)類營銷電話和短信。

“這是典型的個(gè)人信息泄露的情況，比如房貸辦理需書面填寫較多個(gè)人信息，不排除有機(jī)構(gòu)人員或信息接觸者將信息留存在轉(zhuǎn)手倒賣，比如一些信息中介或金融代理機(jī)構(gòu)，聯(lián)合第三方營銷推廣平臺(tái)的慣用操作手法。”周君楨解釋，“不過，相比這類信息泄露，暗網(wǎng)更多是有組織、有目標(biāo)的盜取、買賣。”

“早期一般一個(gè)團(tuán)隊(duì)或者單人來完成，但是目前已經(jīng)完全產(chǎn)業(yè)化、專業(yè)化，固定的團(tuán)隊(duì)進(jìn)行脫庫，再賣給洗庫團(tuán)隊(duì)，再賣給撞庫團(tuán)隊(duì)，互不干涉，通過虛擬化貨幣交割，追查極其困難。”彭思翔告訴記者，“絕大部分被盜數(shù)據(jù)不會(huì)公開出來，而是進(jìn)入到秘密交易環(huán)節(jié)，作用在特定的場(chǎng)景中，如競(jìng)爭(zhēng)對(duì)手戰(zhàn)略分析、同業(yè)用戶爭(zhēng)奪、上下游業(yè)務(wù)定推等，此類秘密交易也可稱為定制化數(shù)據(jù)交易，特點(diǎn)是數(shù)據(jù)只賣一次或在某個(gè)時(shí)間窗口禁售，而公開在暗網(wǎng)交易的數(shù)據(jù)是多次多家進(jìn)行販?zhǔn)邸?rdquo;

而在買方上，“更多不是在個(gè)人論壇賣，往往是賣給專業(yè)信息商或數(shù)據(jù)商，后者對(duì)數(shù)據(jù)加工、匹配、拼接，數(shù)據(jù)完整性會(huì)更好，層層轉(zhuǎn)包、價(jià)值會(huì)更高。”周君楨介紹，通過數(shù)據(jù)加工完善，信息精準(zhǔn)度明顯提高，國內(nèi)的電信詐騙、國外的信用卡盜刷往往由此。

另一特征是其全球化趨勢(shì)，全球都存在數(shù)據(jù)黑產(chǎn)，且成為數(shù)據(jù)跨境非法流動(dòng)的主要渠道。“如非洲國家的個(gè)人信息，被不法代理用于亞馬遜用戶注冊(cè)，進(jìn)行欺詐和作弊行為。”彭思翔介紹，黑客會(huì)把數(shù)據(jù)進(jìn)行整理并相互交流、形成黑產(chǎn)的大數(shù)據(jù)服務(wù)商，具體來講就是社工庫，在利益的驅(qū)使下，黑產(chǎn)向大數(shù)據(jù)服務(wù)和基礎(chǔ)設(shè)施建設(shè)等大規(guī)模、高技術(shù)發(fā)展，這也給數(shù)據(jù)安全的治理加大了挑戰(zhàn)難度。

三大變現(xiàn)途徑：精準(zhǔn)詐騙、撞庫攻擊、撒網(wǎng)式詐騙

截至2019年末，中國網(wǎng)民數(shù)達(dá)8.29億，手機(jī)網(wǎng)民規(guī)模達(dá)到8.17億，在網(wǎng)民總數(shù)中的占比提升至98.6%;數(shù)字經(jīng)濟(jì)滲透在社會(huì)生活方方面面，個(gè)人的數(shù)據(jù)軌跡也無處不在。

暗流涌動(dòng)的黑市交易侵蝕著用戶隱私，而被盜取販賣隱私數(shù)據(jù)在直接變現(xiàn)以外，黑產(chǎn)從業(yè)者往往還會(huì)被利用購得數(shù)據(jù)進(jìn)行精準(zhǔn)詐騙等犯罪行為，進(jìn)一步損害個(gè)人權(quán)益。

騰訊安全報(bào)告統(tǒng)計(jì)，信息泄露催生三大變現(xiàn)途徑：精準(zhǔn)詐騙、撞庫攻擊以及撒網(wǎng)式詐騙。

一個(gè)寫在騰訊安全報(bào)告的案例是，網(wǎng)購用戶買完東西后，收到熱心“客服”的電話，“客服”以質(zhì)量問題、物流問題等事由，發(fā)送一個(gè)退款網(wǎng)頁鏈接或二維碼，用戶按照提示操作即可退還高于購物款的退款或退款保證金，之后“客服”會(huì)進(jìn)一步引導(dǎo)用戶把多收到的錢退還給網(wǎng)店。

而很多人不知道的是，這是詐騙者通過暗網(wǎng)等獲得網(wǎng)購用戶詳細(xì)信息后進(jìn)行的針對(duì)性電信詐騙。用戶收到的款項(xiàng)其實(shí)是一些正規(guī)的貸款平臺(tái)的快速貸款，詐騙者利用網(wǎng)銀或第三方支付平臺(tái)上快速授信貸款等服務(wù)，誤導(dǎo)用戶從貸款平臺(tái)貸款、然后將“多余”的款項(xiàng)打回詐騙者的網(wǎng)絡(luò)帳戶。

騰訊安全報(bào)告指出，包括“購物退款”、冒充“公檢法”、“發(fā)放助學(xué)金”、“航班取消”、“二胎生育退費(fèi)”、“交通違章提醒”、“積分兌換現(xiàn)金”等精準(zhǔn)詐騙行為，均是詐騙者基于個(gè)人信息特點(diǎn)精心設(shè)計(jì)的具有針對(duì)性的詐騙劇本。

此外，近四年來，撞庫攻擊催化信息泄露在全球呈裂變式增長，這種惡意登陸更多是撞庫和掃號(hào)的攻擊。“從個(gè)人角度，需要提高防護(hù)意識(shí)，從業(yè)務(wù)必要性的角度看是否給出授權(quán)信息;個(gè)人在使用金融賬戶時(shí)，建議不同賬戶使用不同密碼，避免被有的技術(shù)公司利用信息進(jìn)行撞庫，帶來資料泄露風(fēng)險(xiǎn)。”周君楨說。

彭思翔也建議，個(gè)人密碼定期更換、一個(gè)密碼最長使用時(shí)間不超過6個(gè)月;加密自己的終端設(shè)備，包括電腦、手機(jī)、硬盤;仔細(xì)查看服務(wù)提供商的隱私協(xié)議，對(duì)不合理?xiàng)l款提出質(zhì)疑。

“當(dāng)前一些高端的數(shù)據(jù)盜竊團(tuán)伙不會(huì)再接一般的數(shù)據(jù)定制需求，而是專注在變現(xiàn)能力更強(qiáng)的金融詐騙。”彭思翔告訴券商中國記者，隨著越來越多的終端支付和豐富的網(wǎng)絡(luò)電商活動(dòng)，涉金融的數(shù)據(jù)安全管理形勢(shì)并不樂觀，也因此這也成為當(dāng)前多國關(guān)注和管控的重點(diǎn)。